Häufig gestellte Fragen zu Passkeys

In diesem Artikel werden häufig gestellte Fragen zu Passkeys behandelt. Schauen Sie regelmäßig nach, um aktualisierte Inhalte zu finden.

Häufig gestellte Fragen zu Passkeys in Microsoft Entra

Wann werden Benutzer aufgefordert, während der Anmeldung einen Kennungsschlüssel zu registrieren?

Benutzern wird möglicherweise eine Eingabeaufforderung für die Passkeyregistrierung angezeigt, wenn:

• Eine Kennungsregistrierungskampagne (Nudge) ist aktiviert oder
• Ein Administrator benötigt explizit die Passkey-Registrierung durch eine Richtlinie, z. B. durch die Durchsetzung von phishingresistentem MFA mit einer Authentifizierungsstärke von bedingtem Zugriff.

Wie können Administratoren die Nutzung von Passkeys überwachen oder prüfen?

Administratoren können Überwachungsprotokolle, Anmeldeprotokolle und Benutzerbenachrichtigungen verwenden, um die Erstellung und Verwendung von Passkeys nachzuverfolgen. Es gibt derzeit kein automatisches Verfallen für Passkeys, daher werden Überwachung und Lebenszyklusverwaltung empfohlen.

Sind Passkeys in Microsoft Entra quantensicher?

Passkeys sind heute nicht vollständig quantensicher, aber Microsoft hat eine veröffentlichte Roadmap , um die Microsoft Entra-Authentifizierung, einschließlich Passkeys, durch Post-Quantum-Kryptografie quantensicher zu machen, mit einem vollständigen Übergang bis 2033.

Häufig gestellte Fragen zu synchronisierten Passwörtern

Was sind die Vorteile von synchronisierten Zugangscodes?

Synchronisierte Passkeys, die in systemeigenen und Drittanbietern von Passkeys gespeichert sind, die bereits auf den Geräten der Benutzer vorhanden sind, lösen viele der Probleme bei der Ausstellung und Verwaltung, die mit einem separaten Authentifizierungsgerät verbunden sind. Die Tatsache, dass der Kennungsschlüssel zwischen den Clientgeräten des Benutzers und der Cloud synchronisiert werden kann, reduziert massiv die Wiederherstellungs- und Wiederholkosten, die mit gerätegebundenen Passkeys verbunden sind. Wir erwarten, dass diese Kombination von Vorteilen synchronisierte Passkeys für die meisten Benutzer und Organisationen die beste Option macht.

Wie kann ich eine mehrstufige Einführung von synchronisierten Passwörtern durchführen?

Sie können Passkeyprofile verwenden, um den Rollout von synchronisierten Schlüsseln zum Auswählen von Benutzergruppen zu beschränken. Microsoft empfiehlt gerätegebundene Kennungen für Administratoren und Benutzer mit hoher Berechtigung und synchronisierte Kennungen für alle Benutzer mit Nicht-Administratorberechtigungen in Ihrer Organisation.

Kann ich als Administrator die Verwendung eines Kennungs widerrufen?

Ja. Administratoren können die Benutzerauthentifizierungsmethoden UX oder API verwenden, um den Schlüssel aus dem Microsoft Entra-ID-Konto eines Benutzers zu löschen.

Welche Schutzmaßnahmen gibt es, um Benutzerkonten und Geräte zu schützen, wenn synchronisierte Passwörter verwendet werden?

Um einen Passkey bei einem Passkey-Anbieter zu registrieren, fordern die meisten, dass die zweistufige Authentifizierung zuerst eingerichtet wird. Die meisten Passkeyanbieter erfordern außerdem eine Gerätesperre, die konfiguriert werden muss, bevor ein Kennungsschlüssel auf dem Gerät gespeichert werden kann. Diese Erfahrung ist im Google Password Manager und im iCloud-Schlüsselbund üblich, kann jedoch bei anderen Schlüsselanbietern unterschiedlich sein.

Können Administratoren steuern, auf welchen Geräten ein synchronisierter Passkey verfügbar ist, oder verhindern, dass Passkeys freigegeben werden?

Heute können Administratoren nicht genau sehen oder steuern, welche Geräte eine Kopie eines synchronisierten Kennungsschlüssels enthalten, noch können sie abfragen, wo ein synchronisierter Schlüssel synchronisiert wurde. Dies spiegelt eine breitere, branchenweite Einschränkung hinsichtlich der Sichtbarkeit von Anmeldeinformationen wider, die auf den persönlichen Geräten eines Benutzers synchronisiert werden. Die Branche arbeitet gemeinsam mit der FIDO Alliance aktiv an Verbesserungen in diesem Bereich, um stärkere Signale und Kontrollen für vertrauende Parteien bereitzustellen. Aus diesem Grund ist es wichtig, das entsprechende Passkeymodell basierend auf Sicherheits- und Complianceanforderungen auszuwählen: Wenn strenge Gerätebegrenzungssteuerung eine harte Anforderung ist, sind gerätegebundene Passkeys die empfohlene Option. Diese Anmeldeinformationen sind an ein bestimmtes Gerät gebunden und werden nicht an anderer Stelle synchronisiert. Für andere Benutzerpopulationen werden synchronisierte Passkeys empfohlen. Synchronisierte Passkeys bieten eine starke Phishingresistenz, während viele herkömmliche Methoden keine Gerätesichtbarkeit bieten und anfällig für Phishingangriffe sind.

Häufig gestellte Fragen zum Authenticator-Zugangsschlüssel

Wie speichert Microsoft Authenticator Passkeys auf einem Gerät?

Authentifikator-Passkeys werden von Hardware unterstützt.

Unter iOS speichert Authenticator den privaten Schlüssel in der Secure Enklave.

Unter Android verwendet Authenticator die Android Keystore-System-API , um gerätegebundene Kennungen sicher zu speichern. Das Android Keystore-System unterstützt das Binden von Schlüsselmaterial an die sichere Hardware eines Android-Geräts in dieser Reihenfolge:

• Secure-Element (SE)
• Vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE)

Unter Android speichert Authenticator nur einen Passkey (privater Schlüssel), wenn das Android-Gerät über eine dieser beiden sicheren Hardwareoptionen verfügt. Wenn keine Hardwareoption vorhanden ist, schlägt die Authentifikator-Passkey-Registrierung fehl, auch wenn die Attestierung deaktiviert ist.

Kann ich Authentifikator-Passkeys auf einem neuen Gerät wiederherstellen oder synchronisieren?

Authentifikator-Passkeys sind nur gerätegebunden und können nicht synchronisiert werden. Weitere Informationen finden Sie unter Gerätegebundene Kennungen in Microsoft Authenticator.

Muss ich Bluetooth aktivieren, um geräteübergreifende Authentifizierung durchzuführen?

Um die geräteübergreifende Authentifizierung mit Passkeys in Authenticator zu verwenden, müssen Sie Bluetooth aktivieren und auf beiden Geräten über Internetzugriff verfügen.

Warum schlägt die geräteübergreifende Anmeldung und Registrierung mit "Gerät konnte keine Verbindung herstellen" fehl?

Stellen Sie sicher, dass beide Geräte über Internetzugriff verfügen und Bluetooth aktiviert sind. Bei geräteübergreifender Registrierung und Authentifizierung können Benutzer keine geräteübergreifende Registrierung oder Authentifizierung verwenden, wenn Sie den Nachweis aktivieren.

Plattform	URL
Android	cable.ua5v.com
iOS	cable.auth.com app-site-association.cdn-apple.com app-site-association.networking.apple

Wenn Ihre Organisation die Bluetooth-Nutzung einschränkt, können Sie die Bluetooth-Kopplung ausschließlich mit passkeyfähigen FIDO2-Authentifikatoren zulassen , um die geräteübergreifende Anmeldung und Registrierung von Schlüsseln zu ermöglichen.

Kann ich mehrere Passkeys im Authenticator haben?

Sie können nur einen Kennungsschlüssel für jedes Konto in Authenticator haben. Zu diesem Zeitpunkt unterstützt Authenticator nur Passkeys für Microsoft Entra ID.

Kann ich die Authenticator-App-Kamera verwenden, um den WebAuthn QR-Code zur Registrierung und Authentifizierung zu scannen?

Sie können die Authenticator-Kamera verwenden, um sich mit Passkeys zu registrieren und zu authentifizieren. Diese Option ist nützlich, wenn Ihre Organisation die Systemkamera-App nicht auf das Android-Arbeitsprofil gepusht hat.

Kann ich Passkeys in Authenticator ohne Internetverbindung verwenden?

Sie können keine Passkeys ohne Internetverbindung verwenden. Bei Szenarien mit demselben Gerät erfordert das mobile Gerät, das den Passkey enthält, Internetzugriff. Bei geräteübergreifenden Szenarien erfordert sowohl das Gerät mit dem Passkey als auch das sekundäre Gerät, auf dem Sie sich anmelden möchten, Internetzugriff.

Ich habe versucht, einen Kennungsschlüssel in der Microsoft Authenticator-App zu registrieren, aber eine Fehlermeldung von "Passkey konnte nicht hinzugefügt werden" oder "unbekannter Fehler" erhalten, was sollte ich tun?

Wenn dieser Fehler auftritt, senden Sie Feedback von der App, indem Sie zum Hauptmenü wechseln und "Feedback senden" → "Probleme" auswählen. Geben Sie nach der Übermittlung die Feedback-ID an, damit die Authentifizierungs-App-Protokolle überprüft werden können.

Ich bin auf einem Android 14-Gerät und habe alle Schritte befolgt. Warum kann ich keine Passkeys in der Authenticator-App registrieren?

Die Authenticator-App verwendet Android-APIs unter Android 14 oder höher, um Passkeys zu verwenden. Anbieter entscheiden, ob diese APIs für jedes von ihnen entwickelte Gerät implementiert werden sollen. Wenn Ihr Gerät diese APIs nicht unterstützt, funktioniert die Authenticator-App möglicherweise nicht für Ihr Gerät unter Android 14. Für eine optimale Erfahrung empfehlen wir, ein Upgrade auf Android 15 durchzuführen.

Ich habe meinen Kennungsschlüssel in der Microsoft Authenticator-App in meinem persönlichen Android-Profil gespeichert und kann ihn nicht in meinem Arbeitsprofil verwenden?

Dieses Verhalten ist nicht spezifisch für die Microsoft Authenticator-App. Android Work Profile erstellt absichtlich zwei isolierte Umgebungen (persönliche und geschäftliche Umgebungen), und Anwendungen, die an der Unternehmensidentität und Gerätesicherheit teilnehmen, müssen innerhalb des Arbeitsprofilcontainers ausgeführt werden. Aufgrund dieses Isolationsmodells können Apps (einschließlich Microsoft Authenticator) nicht über Profile hinweg freigegeben werden, und für das Arbeitsprofil ist eine separate Instanz erforderlich. Dies ist ein Sicherheitsdesign auf Plattformebene, keine Anwendungsauswahl oder Einschränkung.

Warum wird ich anstelle der biometrischen Anmeldung auf meinem Android-Gerät zur PIN aufgefordert?

Wenn die biometrische Anmeldung auf einem Android-Gerät fehlschlägt, werden Sie von der Authenticator-App aufgefordert, stattdessen Ihre PIN einzugeben. Wenn Sie sich das nächste Mal mit dem Kennungsschlüssel anmelden, fordert Authenticator die PIN anstelle der biometrischen Anmeldung an. Der Authentifikator wiederholt regelmäßig die biometrische Anmeldung. Wenn die biometrische Anmeldung erfolgreich ist, wird sie für nachfolgende Anmeldungen verwendet.

Was geschieht mit meinem Passkey, nachdem ich meine PIN oder biometrische Anmeldung auf meinem Android-Gerät geändert habe?

Ihr Passkey wird ungültig, wenn Sie Ihre PIN ändern oder Ihre biometrische Anmeldemethode von Fingerabdruck auf Gesicht ändern oder umgekehrt. Wenn der Schlüssel ungültig ist, müssen Sie sich mit einer anderen Methode anmelden und dann einen neuen Kennungsschlüssel erstellen.

Kann ich mich mit einem Passkey in Authenticator in China anmelden?

Passkeys sind für Microsoft Azure, betrieben von 21Vianet, nicht verfügbar. Unter iOS können Sie sich mit einem Passkey in Authenticator bei anderen globalen Organisationen anmelden, z. B. während der Reise. Weitere Informationen finden Sie unter Herunterladen von Microsoft Authenticator in China.

Verwandte Inhalte

• Microsoft Entra ID-Nachweis für FIDO2-Sicherheitsschlüsselanbieter

In diesem Artikel werden häufig gestellte Fragen zu Passkeys behandelt. Schauen Sie regelmäßig nach, um aktualisierte Inhalte zu finden.

Benutzern wird möglicherweise eine Eingabeaufforderung für die Passkeyregistrierung angezeigt, wenn:

• Eine Kennungsregistrierungskampagne (Nudge) ist aktiviert oder
• Ein Administrator benötigt explizit die Passkey-Registrierung durch eine Richtlinie, z. B. durch die Durchsetzung von phishingresistentem MFA mit einer Authentifizierungsstärke von bedingtem Zugriff.

Administratoren können Überwachungsprotokolle, Anmeldeprotokolle und Benutzerbenachrichtigungen verwenden, um die Erstellung und Verwendung von Passkeys nachzuverfolgen. Es gibt derzeit kein automatisches Verfallen für Passkeys, daher werden Überwachung und Lebenszyklusverwaltung empfohlen.

Passkeys sind heute nicht vollständig quantensicher, aber Microsoft hat eine veröffentlichte Roadmap , um die Microsoft Entra-Authentifizierung, einschließlich Passkeys, durch Post-Quantum-Kryptografie quantensicher zu machen, mit einem vollständigen Übergang bis 2033.

Synchronisierte Passkeys, die in systemeigenen und Drittanbietern von Passkeys gespeichert sind, die bereits auf den Geräten der Benutzer vorhanden sind, lösen viele der Probleme bei der Ausstellung und Verwaltung, die mit einem separaten Authentifizierungsgerät verbunden sind. Die Tatsache, dass der Kennungsschlüssel zwischen den Clientgeräten des Benutzers und der Cloud synchronisiert werden kann, reduziert massiv die Wiederherstellungs- und Wiederholkosten, die mit gerätegebundenen Passkeys verbunden sind. Wir erwarten, dass diese Kombination von Vorteilen synchronisierte Passkeys für die meisten Benutzer und Organisationen die beste Option macht.

Sie können Passkeyprofile verwenden, um den Rollout von synchronisierten Schlüsseln zum Auswählen von Benutzergruppen zu beschränken. Microsoft empfiehlt gerätegebundene Kennungen für Administratoren und Benutzer mit hoher Berechtigung und synchronisierte Kennungen für alle Benutzer mit Nicht-Administratorberechtigungen in Ihrer Organisation.

Ja. Administratoren können die Benutzerauthentifizierungsmethoden UX oder API verwenden, um den Schlüssel aus dem Microsoft Entra-ID-Konto eines Benutzers zu löschen.

Um einen Passkey bei einem Passkey-Anbieter zu registrieren, fordern die meisten, dass die zweistufige Authentifizierung zuerst eingerichtet wird. Die meisten Passkeyanbieter erfordern außerdem eine Gerätesperre, die konfiguriert werden muss, bevor ein Kennungsschlüssel auf dem Gerät gespeichert werden kann. Diese Erfahrung ist im Google Password Manager und im iCloud-Schlüsselbund üblich, kann jedoch bei anderen Schlüsselanbietern unterschiedlich sein.

Heute können Administratoren nicht genau sehen oder steuern, welche Geräte eine Kopie eines synchronisierten Kennungsschlüssels enthalten, noch können sie abfragen, wo ein synchronisierter Schlüssel synchronisiert wurde. Dies spiegelt eine breitere, branchenweite Einschränkung hinsichtlich der Sichtbarkeit von Anmeldeinformationen wider, die auf den persönlichen Geräten eines Benutzers synchronisiert werden. Die Branche arbeitet gemeinsam mit der FIDO Alliance aktiv an Verbesserungen in diesem Bereich, um stärkere Signale und Kontrollen für vertrauende Parteien bereitzustellen. Aus diesem Grund ist es wichtig, das entsprechende Passkeymodell basierend auf Sicherheits- und Complianceanforderungen auszuwählen: Wenn strenge Gerätebegrenzungssteuerung eine harte Anforderung ist, sind gerätegebundene Passkeys die empfohlene Option. Diese Anmeldeinformationen sind an ein bestimmtes Gerät gebunden und werden nicht an anderer Stelle synchronisiert. Für andere Benutzerpopulationen werden synchronisierte Passkeys empfohlen. Synchronisierte Passkeys bieten eine starke Phishingresistenz, während viele herkömmliche Methoden keine Gerätesichtbarkeit bieten und anfällig für Phishingangriffe sind.

Authentifikator-Passkeys werden von Hardware unterstützt.

Unter iOS speichert Authenticator den privaten Schlüssel in der Secure Enklave.

Unter Android verwendet Authenticator die Android Keystore-System-API , um gerätegebundene Kennungen sicher zu speichern. Das Android Keystore-System unterstützt das Binden von Schlüsselmaterial an die sichere Hardware eines Android-Geräts in dieser Reihenfolge:

• Secure-Element (SE)
• Vertrauenswürdige Ausführungsumgebung (Trusted Execution Environment, TEE)

Unter Android speichert Authenticator nur einen Passkey (privater Schlüssel), wenn das Android-Gerät über eine dieser beiden sicheren Hardwareoptionen verfügt. Wenn keine Hardwareoption vorhanden ist, schlägt die Authentifikator-Passkey-Registrierung fehl, auch wenn die Attestierung deaktiviert ist.

Authentifikator-Passkeys sind nur gerätegebunden und können nicht synchronisiert werden. Weitere Informationen finden Sie unter Gerätegebundene Kennungen in Microsoft Authenticator.

Um die geräteübergreifende Authentifizierung mit Passkeys in Authenticator zu verwenden, müssen Sie Bluetooth aktivieren und auf beiden Geräten über Internetzugriff verfügen.

Stellen Sie sicher, dass beide Geräte über Internetzugriff verfügen und Bluetooth aktiviert sind. Bei geräteübergreifender Registrierung und Authentifizierung können Benutzer keine geräteübergreifende Registrierung oder Authentifizierung verwenden, wenn Sie den Nachweis aktivieren.

Plattform	URL
Android	cable.ua5v.com
iOS	cable.auth.com app-site-association.cdn-apple.com app-site-association.networking.apple

Wenn Ihre Organisation die Bluetooth-Nutzung einschränkt, können Sie die Bluetooth-Kopplung ausschließlich mit passkeyfähigen FIDO2-Authentifikatoren zulassen , um die geräteübergreifende Anmeldung und Registrierung von Schlüsseln zu ermöglichen.

Sie können nur einen Kennungsschlüssel für jedes Konto in Authenticator haben. Zu diesem Zeitpunkt unterstützt Authenticator nur Passkeys für Microsoft Entra ID.

Sie können die Authenticator-Kamera verwenden, um sich mit Passkeys zu registrieren und zu authentifizieren. Diese Option ist nützlich, wenn Ihre Organisation die Systemkamera-App nicht auf das Android-Arbeitsprofil gepusht hat.

Sie können keine Passkeys ohne Internetverbindung verwenden. Bei Szenarien mit demselben Gerät erfordert das mobile Gerät, das den Passkey enthält, Internetzugriff. Bei geräteübergreifenden Szenarien erfordert sowohl das Gerät mit dem Passkey als auch das sekundäre Gerät, auf dem Sie sich anmelden möchten, Internetzugriff.

Wenn dieser Fehler auftritt, senden Sie Feedback von der App, indem Sie zum Hauptmenü wechseln und "Feedback senden" → "Probleme" auswählen. Geben Sie nach der Übermittlung die Feedback-ID an, damit die Authentifizierungs-App-Protokolle überprüft werden können.

Die Authenticator-App verwendet Android-APIs unter Android 14 oder höher, um Passkeys zu verwenden. Anbieter entscheiden, ob diese APIs für jedes von ihnen entwickelte Gerät implementiert werden sollen. Wenn Ihr Gerät diese APIs nicht unterstützt, funktioniert die Authenticator-App möglicherweise nicht für Ihr Gerät unter Android 14. Für eine optimale Erfahrung empfehlen wir, ein Upgrade auf Android 15 durchzuführen.

Dieses Verhalten ist nicht spezifisch für die Microsoft Authenticator-App. Android Work Profile erstellt absichtlich zwei isolierte Umgebungen (persönliche und geschäftliche Umgebungen), und Anwendungen, die an der Unternehmensidentität und Gerätesicherheit teilnehmen, müssen innerhalb des Arbeitsprofilcontainers ausgeführt werden. Aufgrund dieses Isolationsmodells können Apps (einschließlich Microsoft Authenticator) nicht über Profile hinweg freigegeben werden, und für das Arbeitsprofil ist eine separate Instanz erforderlich. Dies ist ein Sicherheitsdesign auf Plattformebene, keine Anwendungsauswahl oder Einschränkung.

Wenn die biometrische Anmeldung auf einem Android-Gerät fehlschlägt, werden Sie von der Authenticator-App aufgefordert, stattdessen Ihre PIN einzugeben. Wenn Sie sich das nächste Mal mit dem Kennungsschlüssel anmelden, fordert Authenticator die PIN anstelle der biometrischen Anmeldung an. Der Authentifikator wiederholt regelmäßig die biometrische Anmeldung. Wenn die biometrische Anmeldung erfolgreich ist, wird sie für nachfolgende Anmeldungen verwendet.

Ihr Passkey wird ungültig, wenn Sie Ihre PIN ändern oder Ihre biometrische Anmeldemethode von Fingerabdruck auf Gesicht ändern oder umgekehrt. Wenn der Schlüssel ungültig ist, müssen Sie sich mit einer anderen Methode anmelden und dann einen neuen Kennungsschlüssel erstellen.

Passkeys sind für Microsoft Azure, betrieben von 21Vianet, nicht verfügbar. Unter iOS können Sie sich mit einem Passkey in Authenticator bei anderen globalen Organisationen anmelden, z. B. während der Reise. Weitere Informationen finden Sie unter Herunterladen von Microsoft Authenticator in China.

Verwandte Inhalte

• Microsoft Entra ID-Nachweis für FIDO2-Sicherheitsschlüsselanbieter